Aktivieren der Dienstanmeldung

Die bewährte Methode für die Sicherheit besteht darin, interaktive und Remotesitzungen für Dienstkonten zu deaktivieren. Sicherheitsteams in verschiedenen Organisationen kontrollieren streng, um diese bewährte Methode zur Verhinderung von Diebstahl von Anmeldeinformationen und damit verbundenen Angriffen durchzusetzen.

System Center - Service Manager (SM) unterstützt die Stärkung von Dienstkonten und erfordert nicht die Gewährung des Benutzerrechts „Lokale Anmeldung zulassen“ für mehrere Konten, das zur Unterstützung von SM erforderlich ist.

Sie müssen die Berechtigung zur Dienstanmeldung für die folgenden Konten bereitstellen, die vom SM-Verwaltungsserver und vom Data-Warehouse-Verwaltungsserver verwendet werden.

Service Manager Dienste-Konto: Dieses Konto wird für den System Center Data Access Service und den System Center Management Konfigurationsdienst verwendet.

Für dieses Konto ist eine Berechtigung zur Dienstanmeldung erforderlich.

Service Manager Workflowkonto Dieses Konto wird verwendet, um den Prozess MonitoringHost.exe auszuführen (führt alle Workflows aus). Für dieses Konto ist eine Berechtigung zur Dienstanmeldung erforderlich.

Hinweis

Wir empfehlen, dass Sie die Berechtigung zur Dienstanmeldung für die von verschiedenen SM-Konnektoren (AD, OM, SCO, CM, VMM, Austauschkonnektoren) verwendeten Konten bereitstellen. Für die Konten „Service Reporting“ und „Analysis Services“ ist keine Berechtigung zur Anmeldung bei Diensten erforderlich.

Aktivieren der Dienstanmeldung als Anmeldetyp

Sie können die Berechtigung zur Dienstanmeldung über eine Domänenrichtlinie oder eine lokale Gruppenrichtlinie zuweisen.

Wenden Sie sich an Ihre Administratoren, um die Verwendung der Richtlinien für die Domain zu aktivieren. Informationen zur Verwendung lokaler Gruppenrichtlinien finden Sie im Abschnitt „Aktivieren des Dienstes über eine lokale Gruppenrichtlinie

Identifizieren Sie die Konten, für die eine Berechtigung zur Dienstanmeldung erforderlich ist

Wenn für erforderliche Konten keine Berechtigung zur Dienstanmeldung bereitgestellt wird, wird monitoringhost.exe unter diesen Konten nicht ausgeführt. Das bedeutet, dass einige Workflows wie SLA/SLO nicht ausgeführt werden könnten. In diesem Fall wird das folgende Fehlerereignis im Ereignisprotokoll des Operations Manager protokolliert:

Der Integritätsdienst konnte sich nicht mit dem RunAs-Konto XXXXXXX für die Verwaltungsgruppe XXXX anmelden, da ihm nicht die Berechtigung „Anmelden als Dienst“ erteilt wurde.

Hier sehen Sie ein Beispiel für einen Fehler:

Screenshot zur Identifizierung von Konten, für die eine Anmeldeberechtigung erforderlich ist.

Aktivieren der Dienstanmeldung über eine lokale Gruppenrichtlinie

Führen Sie folgende Schritte aus:

  1. Melden Sie sich mit Administratorrechten auf dem Computer an, von dem aus Sie die Berechtigung Anmelden als Dienst für Konten bereitstellen möchten.

  2. Gehen Sie zu Verwaltungstools und wählen Sie Lokale Sicherheitsrichtlinie aus.

  3. Erweitern Sie Lokale Richtlinie und wählen Sie Zuweisung von Benutzerberechtigungen aus. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Anmelden als Dienst und wählen Sie Eigenschaften.

  4. Wählen Sie die Option Benutzender oder Gruppe hinzufügen, um den neuen Benutzenden hinzuzufügen.

  5. Im Dialogfeld Benutzende auswählen oder „Gruppen auswählen“ finden Sie den Benutzenden, den Sie hinzufügen möchten, und wählen OK aus.

  6. Wählen Sie in Anmelden als Diensteigenschaften die Option OK aus, um die Änderungen zu speichern.

    Screenshot, der die Aktivierung der Dienstanmeldeberechtigung zeigt.

Ändern Sie den Anmeldetyp von einem Standardwert

Der Standardanmeldungstyp ist Dienstanmeldung. Nach der neuen Installation von SM oder einem Upgrade wird standardmäßig die Dienstanmeldung aktiviert.

Sie können den Standard-Anmeldetyp ändern, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich mit Administratorrechten auf dem Computer an, von dem aus Sie die Berechtigung Anmelden als Dienst für Konten bereitstellen möchten.

  2. Führen Sie Gpedit.msc aus

  3. Erweitern Sie unter Computerkonfiguration die Option Administrative Vorlagen.

  4. Wählen Sie System Center – Operations Manager.

  5. Klicken Sie mit der rechten Maustaste auf Überwachungsaktion Konto-Anmeldetyp, klicken Sie auf Bearbeiten und wählen dann Aktiviert aus.

  6. Wählen Sie Anmeldetyp aus dem Dropdownmenü aus.

    Screenshot, der die Änderung der Anmeldeberechtigung für Dienste zeigt.